借鑒:https://blog.csdn.net/lvshaorong/article/details/69950694
Docker容器非常輕量,系統開銷非常少,比VMware或者VirtualBox用起來方便,部署起來也非常容易。官方推薦我們通過端口映射的方式把Docker容器的服務提供給宿主機或者局域網其他容器使用。一般過程是:
1、Docker進程通過監聽宿主機的某個端口,將該端口的數據包發送給Docker容器
2、宿主機可以打開防火牆讓局域網其他設備通過訪問宿主機的端口進而訪問docker的端口
這里以CDNS為例,CDNS是一個用於避免DNS污染的程序,通過CDNS可以把你的計算機變成一個抗污染的DNS服務器提供給局域網使用。Docker鏡像下載地址:https://hub.docker.com/r/alexzhuo/cdns/
原理是在Docker容器中啟動CDNS,監聽53端口,Docker容器的IP地址為172.12.0.2,宿主機把5053端口映射到Docker容器上,訪問宿主機的127.0.0.1:5053就相當於訪問Docker的53端口,所以Docker的啟動方法是:
sudo docker run -itd -p 0.0.0.0:5053:53/udp --name=CureDNS alexzhuo/cdns cdns -c /etc/cdns.config.json這樣我們使用dig工具通過5053端口查詢DNS就是無污染的DNS了,過程如下:
alex@alex-Lenovo-U310:~$ dig www.facebook.com @127.0.0.1 -p 5053
; DiG 9.10.3-P4-Ubuntu <<>> www.facebook.com @127.0.0.1 -p 5053
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9522
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.facebook.com. IN A
;; ANSWER SECTION:
www.facebook.com. 1550 IN CNAME star-mini.c10r.facebook.com.
star-mini.c10r.facebook.com. 30 IN A 31.13.95.36
;; AUTHORITY SECTION:
c10r.facebook.com. 2010 IN NS a.ns.c10r.facebook.com.
c10r.facebook.com. 2010 IN NS b.ns.c10r.facebook.com.
;; ADDITIONAL SECTION:
a.ns.c10r.facebook.com. 2439 IN A 69.171.239.11
a.ns.c10r.facebook.com. 2439 IN AAAA 2a03:2880:fffe:b:face:b00c:0:99
b.ns.c10r.facebook.com. 3351 IN A 69.171.255.11
b.ns.c10r.facebook.com. 1253 IN AAAA 2a03:2880:ffff:b:face:b00c:0:99
;; Query time: 47 msec
;; SERVER: 127.0.0.1#5053(127.0.0.1)
;; WHEN: Mon Apr 10 16:21:46 CST 2017
;; MSG SIZE rcvd: 213
這里假設我們的宿主機IP是192.168.12.107
如果現在出現另外一台局域網計算機,IP地址為192.168.12.113,它想把宿主機當成DNS服務器,那么我們就需要在192.168.12.113這台計算機上訪問192.168.12.107:5053來查詢DNS,dig命令如下
dig www.facebook.com @192.168.12.107 -p 5053這樣做顯然是很不方便的,我們現在希望不經過宿主機這一套NAT和代理,想要直接在局域網內的任意一台計算機上直接通過IP訪問Docker容器,讓Docker容器完整的暴露在局域網里而不是僅單單暴露一個53端口。那么應該如何做呢?
首先通過觀察發現,Docker的默認啟動方式中,會產生一塊虛擬網卡,在這里我們可以理解這塊網卡連接着一個虛擬交換機,然后每個Docker容器又會擁有自己單獨的網卡和IP,而且所有Docker容器也連接在這個虛擬交換機的下面。我們可以在宿主機上通過ifconfig命令看到這個虛擬網卡。
alex@alex-Lenovo-U310:~$ ifconfig
docker0 Link encap:以太網 硬件地址 02:42:cd:21:5c:81
inet 地址:172.17.0.1 廣播:0.0.0.0 掩碼:255.255.0.0
inet6 地址: fe80::42:cdff:fe21:5c81/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 躍點數:1
接收數據包:2892 錯誤:0 丟棄:0 過載:0 幀數:0
發送數據包:3517 錯誤:0 丟棄:0 過載:0 載波:0
碰撞:0 發送隊列長度:0
接收字節:187022 (187.0 KB) 發送字節:4771886 (4.7 MB)
lo Link encap:本地環回
inet 地址:127.0.0.1 掩碼:255.0.0.0
inet6 地址: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 躍點數:1
接收數據包:9993 錯誤:0 丟棄:0 過載:0 幀數:0
發送數據包:9993 錯誤:0 丟棄:0 過載:0 載波:0
碰撞:0 發送隊列長度:1
接收字節:934304 (934.3 KB) 發送字節:934304 (934.3 KB)
wlp3s0 Link encap:以太網 硬件地址 74:e5:43:b0:dd:b0
inet 地址:192.168.12.107 廣播:192.168.12.255 掩碼:255.255.255.0
inet6 地址: fe80::8adf:28f7:5ec:3a5d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 躍點數:1
接收數據包:69760 錯誤:0 丟棄:0 過載:0 幀數:0
發送數據包:64718 錯誤:0 丟棄:0 過載:0 載波:0
碰撞:0 發送隊列長度:1000
接收字節:41517057 (41.5 MB) 發送字節:9971762 (9.9 MB)
上面的docker0這塊網卡就是虛擬網卡,它的IP地址是172.17.0.1,它和其他的docker容器都連接在一個虛擬交換機上,網段為172.17.0.0/16,下面我們登錄到Docker容器里面,查看一下容器的網卡和IP
# ifconfig
eth0 Link encap:Ethernet HWaddr 02:42:ac:11:00:02
inet addr:172.17.0.2 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:acff:fe11:2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3449 errors:0 dropped:0 overruns:0 frame:0
TX packets:2811 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4763490 (4.7 MB) TX bytes:219998 (219.9 KB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
可以看到這個容器的IP地址為172.17.0.2,現在我們到宿主機里看看ping 172.17.0.2能不能ping通。
答案當然是能ping通,能ping通的原因就是我們的宿主機里知道目標地址為172.17.0.1/16的路由信息,不信我們可以查看一下
alex@alex-Lenovo-U310:~$ ip route
default via 192.168.12.1 dev wlp3s0 proto static metric 600
169.254.0.0/16 dev docker0 scope link metric 1000
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
192.168.12.0/24 dev wlp3s0 proto kernel scope link src 192.168.12.107 metric 600從上面可以看出來,172.17.0.0/16這個網段的數據包可以通過docker0這塊網卡發送出去。也就是說,目前宿主機有兩個IP,一個是192.168.12.107,用於連接實體的局域網,一個是172.17.0.1,用來和Docker容器通信,從這可以看出宿主機和路由器的作用是一致的。而Docker容器只有一個IP就是172.17.0.2。如果docker容器想要訪問外網,那么它就會把數據包發送到網關172.17.0.1,然后由宿主機做NAT發送到192.168.12.1/24這個網段的網關上。
不光宿主機可以ping通容器,而且由於在docker容器中默認路由(網關)是172.17.0.1,所以docker容器不光可以ping主機的172.17.0.1,還能ping通主機的另一個IP:192.168.12.107
此時我們的網絡拓撲其實就變成了192.168.12.0/24這個網段里有個宿主機,為了方便理解,我們把這個宿主機看成一個路由器,路由器下面是172.17.0.1/16這個網段。我們把Docker容器看成實實在在的機器設備,連接在宿主機這個路由器的下面。這樣Docker的拓撲結構就非常清晰了。我們可以發現這個拓撲結構其實非常的簡單。就像家里上網的路由器一樣。打個比方:我家里有兩個路由器,一個路由器通過PPPOE撥號連接公網,內網地址為192.168.12.1,另一個路由器連接在第一個路由器上面,WAN口IP是192.168.12.107,LAN口地址是172.17.0.1,我們的Docker容器看成一個個的電腦接在第二個路由器LAN上面,所以Docker容器的IP為172.17.0.2。
第二個路由器(宿主機)通過NAT讓我們的電腦們(Docker容器)可以訪問互聯網。電腦們(Docker容器們)可以互相ping通,也能ping通全部兩個路由器。第二個路由器可以ping通電腦們,但是第一個路由器ping不同電腦們。如果還是不理解拓撲結構,可以自己在家里買兩個路由器一前一后放上試試。
網絡拓撲圖大致如下:
現在問題來了,如果有一個電腦連接在第一個路由器的下面,和第二個路由器(宿主機)平級,其IP為192.168.12.113,現在它想ping通172.17.0.2這個Docker容器,發現是ping不通的。同樣第一台路由器自己也是ping不通Docker容器的
原因很簡單,這台新計算機只能ping通同網段的設備,比如路由器2,因為他們同屬於192.168.12.1/24這個網段。而172.17.0.2/16這個網段它並不知道怎么路由過去,只能把目標地址為172.17.0.1/16的數據包發給路由器一,可惜就連第一個路由器也不知道怎么個路由法。所以我們就ping不通了。
所以現在問題就很好解決了,我們只需要告訴這台新電腦或者第一個路由器到172.17.0.2/16這個網段的路徑就可以了。
於是我們可以在新電腦或者路由器一中這樣寫
route add -net 172.17.0.1/16 gw 192.168.12.107或者是
ip route add 172.17.0.1/16 via 192.168.12.107普通路由器可以像這樣設置
現在新電腦訪問172.17.0.2的數據包就會先被發送到宿主機(第二個路由器)上,然后宿主機再轉發到Docker容器上,我們就把Docker容器暴露到局域網里了。
但此時你會發現你在新計算機上還是ping不通,這是為什么呢。因為路由器二(宿主機)對它的內網機器也就是Docker容器們全部開啟了NAT,源IP為172.17.0.2/16的數據包不會出現在宿主機以外的網絡中,因為他們被NAT了。這個NAT是Docker進程默認自動幫我們實現的,我們先看一下
alex@alex-Lenovo-U310:~$ sudo iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DOCKER all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DOCKER all -- 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0
MASQUERADE tcp -- 172.17.0.2 172.17.0.2 tcp dpt:53
MASQUERADE udp -- 172.17.0.2 172.17.0.2 udp dpt:53
Chain DOCKER (2 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
DNAT tcp -- 0.0.0.0/0 127.0.0.1 tcp dpt:5053 to:172.17.0.2:53
DNAT udp -- 0.0.0.0/0 127.0.0.1 udp dpt:5053 to:172.17.0.2:53
注意那句MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0會導致所有172.17.0.0/16的數據包都不能到達docker以外的網絡,所以我們要關掉這個NAT,關掉很容易,我們只需刪掉這一條iptables規則就可以了。然后源IP為172.17.0.2的數據包就可以出現在192.168.12.1/24的網絡中了。
sudo iptables -t nat -D POSTROUTING 3但是把NAT關掉了以后,雖然內網可以互ping了,但是Docker容器可能上不去網呀。第一個路由器如果自動NAT 了172.17.0.2還好,但要是沒有人給Docker容器做NAT,Docker容器就不能上網了,那我們的CDNS也就沒法用了。那么如何既保證Docker容器訪問外網的數據包被NAT,又保證內網通信不被NAT呢?只要稍微修改一下iptables規則就好了,如下
sudo iptables -t nat -A POSTROUTING -s 172.17.0.2 ! -d 192.168.12.1/24 -j MASQUERADE上面的iptables規則通過對內外網流量的分離實現區別的NAT對待,就可以既保證Docker容器正常上網,也可以被內網其他主機訪問了。
可能會有這么一種情況,上面所說的第一台路由器不是什么智能路由器,或者你沒有權限在那個路由器上配置路由條目,讓目標為172.17.0.0/16的數據包通過路由器進行路由。同時你的局域網其他電腦是XP系統的,也沒法手動配置路由規則,這該怎么辦呢?
方法一:
現在以要訪問Docker容器的局域網主機為Windows XP系統為例,雖然WinXP不能手動配置路由規則,但是我們可以配置網關,只要我們把網關設置為192.168.12.107也就是我們的宿主機,目標地址為172.17.0.0/16的IP包就會發送到宿主機上,而宿主機不同於第一個路由器,它是知道如何路由這些IP包的。於是我們就可以在WinXP上ping通Docker容器了
方法二:
如果你不想修改windows的網關(怕上不去網)可以為windows系統單獨設置172.17.0.1/24的目標地址的數據包路由到192.168.12.107,可以使用下面的命令
route -p add 172.17.0.1 MASK 255.255.255.0 192.168.12.107 METRIC 3